Специалисты «Лаборатории Касперского» обнаружили, что хак-группа Twelve, о которой ничего не было слышно несколько месяцев, продолжает свои атаки, направленные против российских госкомпаний.
Хактивисты Twelve атакуют российские организации с апреля 2023 года. Ранее они публиковали персональные данные людей в своем Telegram-канале, однако весной 2024 года канал был заблокирован за нарушение правил.
После этого о группе ничего не было слышно несколько месяцев, но в конце июня 2024 года эксперты зафиксировали атаку, в которой использовались техники, полностью идентичные техникам Twelve, а также связанные с ней управляющие серверы. В результате исследователи выразили уверенность, что группа продолжает свою активность и, вероятно, скоро вновь заявит о себе в публичном пространстве.
Специалисты напоминают, что группа специализируются на шифровании и последующем уничтожении данных жертв, что серьезно затрудняет восстановление информационной среды. То есть основная цель хакеров — нанести организации как можно больший ущерб.
Ранее было обнаружено, что Twelve использует общую инфраструктуру, утилиты и техники (TTP) с вымогательской группой DARKSTAR (ранее называвшейся Shadow и Comet), то есть хакеры принадлежат к одному синдикату или кластеру активности. При этом действия Twelve обычно носят явно хактивистский характер, а DARKSTAR придерживается классической схемы двойного вымогательства.
Теперь исследователи рассказывают, что точные методы разведки, которыми пользуются участники Twelve, неизвестны, но предполагается, что хакеры сканируют диапазоны IP-адресов по всей России на основе геотегов и пытаются идентифицировать VPN-серверы и приложения, доступные из интернета, способные стать точками входа в инфраструктуру целевой организации или ее подрядчика.
При этом в своих атаках группа полагается исключительно на известные и свободно доступные инструменты и веб-шеллы, включая: ngrok, Cobalt Strike, mimikatz, chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner, PsExec.
Так, в большинстве изученных атак злоумышленники получали доступ к инфраструктуре жертв, используя действительные локальные или доменные учетные записи, VPN- или SSH-сертификаты. А получив доступ к инфраструктуре жертвы, использовали RDP для бокового перемещения.
Отмечается, что чаще всего Twelve проникали в инфраструктуру целей через их подрядчиков. Для этого они получали доступ к инфраструктуре подрядчика, а затем использовали его сертификат для подключения VPN-клиента.
Так как у группировки отсутствуют собственные разработки, исследователи считают, что атаки Twelve можно своевременно обнаружить и предотвратить, пока злоумышленники не успели нанести значительный ущерб инфраструктуре организации.
